[网鼎杯 2020 青龙组]singal-复现

最新推荐文章于 2024-07-08 22:12:26 发布
最新推荐文章于 2024-07-08 22:12:26 发布
阅读量106 收藏
点赞数
分类专栏: CTF 逆向 C 文章标签: 算法 安全 网络安全 c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaochonxiang/article/details/131137103
版权
CTF 同时被 3 个专栏收录
53 篇文章 2 订阅
订阅专栏
逆向
43 篇文章 1 订阅
订阅专栏
C
10 篇文章 0 订阅
订阅专栏

[网鼎杯 2020 青龙组]singal

找到主函数

提取v4->&byte_403040数组

进入vm_operad函数

进入read函数

发现flag的长度为15

exp:

#include<stdio.h>


int __cdecl vm_operad(int* a1, int len_114);
int __cdecl vm_decode(int* a1, int len_114);
int main()
{
    char ida_chars[] =
    {
       10,   0,   0,   0,   4,   0,   0,   0,  16,   0,
        0,   0,   8,   0,   0,   0,   3,   0,   0,   0,
        5,   0,   0,   0,   1,   0,   0,   0,   4,   0,
        0,   0,  32,   0,   0,   0,   8,   0,   0,   0,
        5,   0,   0,   0,   3,   0,   0,   0,   1,   0,
        0,   0,   3,   0,   0,   0,   2,   0,   0,   0,
        8,   0,   0,   0,  11,   0,   0,   0,   1,   0,
        0,   0,  12,   0,   0,   0,   8,   0,   0,   0,
        4,   0,   0,   0,   4,   0,   0,   0,   1,   0,
        0,   0,   5,   0,   0,   0,   3,   0,   0,   0,
        8,   0,   0,   0,   3,   0,   0,   0,  33,   0,
        0,   0,   1,   0,   0,   0,  11,   0,   0,   0,
        8,   0,   0,   0,  11,   0,   0,   0,   1,   0,
        0,   0,   4,   0,   0,   0,   9,   0,   0,   0,
        8,   0,   0,   0,   3,   0,   0,   0,  32,   0,
        0,   0,   1,   0,   0,   0,   2,   0,   0,   0,
       81,   0,   0,   0,   8,   0,   0,   0,   4,   0,
        0,   0,  36,   0,   0,   0,   1,   0,   0,   0,
       12,   0,   0,   0,   8,   0,   0,   0,  11,   0,
        0,   0,   1,   0,   0,   0,   5,   0,   0,   0,
        2,   0,   0,   0,   8,   0,   0,   0,   2,   0,
        0,   0,  37,   0,   0,   0,   1,   0,   0,   0,
        2,   0,   0,   0,  54,   0,   0,   0,   8,   0,
        0,   0,   4,   0,   0,   0,  65,   0,   0,   0,
        1,   0,   0,   0,   2,   0,   0,   0,  32,   0,
        0,   0,   8,   0,   0,   0,   5,   0,   0,   0,
        1,   0,   0,   0,   1,   0,   0,   0,   5,   0,
        0,   0,   3,   0,   0,   0,   8,   0,   0,   0,
        2,   0,   0,   0,  37,   0,   0,   0,   1,   0,
        0,   0,   4,   0,   0,   0,   9,   0,   0,   0,
        8,   0,   0,   0,   3,   0,   0,   0,  32,   0,
        0,   0,   1,   0,   0,   0,   2,   0,   0,   0,
       65,   0,   0,   0,   8,   0,   0,   0,  12,   0,
        0,   0,   1,   0,   0,   0,   7,   0,   0,   0,
       34,   0,   0,   0,   7,   0,   0,   0,  63,   0,
        0,   0,   7,   0,   0,   0,  52,   0,   0,   0,
        7,   0,   0,   0,  50,   0,   0,   0,   7,   0,
        0,   0, 114,   0,   0,   0,   7,   0,   0,   0,
       51,   0,   0,   0,   7,   0,   0,   0,  24,   0,
        0,   0,   7,   0,   0,   0, 167, 255, 255, 255,
        7,   0,   0,   0,  49,   0,   0,   0,   7,   0,
        0,   0, 241, 255, 255, 255,   7,   0,   0,   0,
       40,   0,   0,   0,   7,   0,   0,   0, 132, 255,
      255, 255,   7,   0,   0,   0, 193, 255, 255, 255,
        7,   0,   0,   0,  30,   0,   0,   0,   7,   0,
        0,   0, 122,   0,   0,   0
    };
    vm_operad(ida_chars, 114);//从“char*”到“int* ”的类型不兼容,编译器强制转为int*类型
    vm_decode(ida_chars, 114);
    return 0;
}
int __cdecl vm_operad(int* a1, int len_114)
{
    int result; // eax
    char flag[200] = "111111111111111"; //flag长度为15
    char v4; // [esp+DBh] [ebp-1Dh]
    int v5; // [esp+DCh] [ebp-1Ch]
    int v6; // [esp+E0h] [ebp-18h]
    int v7; // [esp+E4h] [ebp-14h]
    int v8; // [esp+E8h] [ebp-10h]
    int i; // [esp+ECh] [ebp-Ch]
    i = 0;
    v8 = 0;
    v7 = 0;
    v6 = 0;
    v5 = 0;
    while (1)
    {
        result = i;
        if (i >= len_114)
            return result;
        switch (a1[i])
        {
        case 1:
            flag[v6 + 100] = v4;
            ++i;
            ++v6;
            ++v8;
            break;
        case 2:
            v4 = a1[i + 1] + flag[v8];
            i += 2;
            break;
        case 3:
            v4 = flag[v8] - a1[i + 1];
            i += 2;
            break;
        case 4:
            v4 = a1[i + 1] ^ flag[v8];
            i += 2;
            break;
        case 5:
            v4 = a1[i + 1] * flag[v8];
            i += 2;
            break;
        case 6:
            ++i;
            break;
        case 7:
            printf("%d,", a1[i + 1]);//输出符合条件的code
            ++v7;
            i += 2;
            break;
        case 8:
            flag[v5] = v4;
            ++i;
            ++v5;
            break;
        case 10:
            //read(flag);
            ++i;
            break;
        case 11:
            v4 = flag[v8] - 1;
            ++i;
            break;
        case 12:
            v4 = flag[v8] + 1;
            ++i;
            break;
        default:
            continue;
        }
        //printf("%d,", i);//输出下表
    }
}
//逆向过程为从后面向前面走
int __cdecl vm_decode(int* a1, int len_114)
{
    unsigned char flag[100] = { '\0'}; // [esp+13h] [ebp-E5h] BYREF
    int v4; // [esp+DBh] [ebp-1Dh]
    int v5; // [esp+DCh] [ebp-1Ch]
    int v6; // [esp+E0h] [ebp-18h]
    int v7; // [esp+E4h] [ebp-14h]
    int v8; // [esp+E8h] [ebp-10h]
    int i; // [esp+ECh] [ebp-Ch]
    v8 = 15;
    v7 = 15;
    v6 = 15;
    v5 = 15;
    unsigned int code[] = { 34,63,52,50,114,51,24,-89,49,-15,40,-124,-63,30,122, };
    char index[] = { 1,3,4,6,7,9,10,12,13,15,16,17,18,19,20,22,23,25,26,28,29,30,31,32,33,35,36,38,39,41,42,44,45,46,47,48,49,51,52,54,55,57,58,60,61,63,64,66,67,69,70,72,73,75,76,78,79,81,82,83,84,86,88,90,92,94,96,98,100,102,104,106,108,110,112,114, };
    for(int k=75;k>=0;k--)
    {
        i = index[k];
        switch (a1[i])
        {
        case 1:
            --v8;
            --v6;
            v4 = code[v6];
            break;
        case 2:
            flag[v8] = v4 - a1[i + 1];
            break;
        case 3:
            flag[v8] = v4 + a1[i + 1];
            break;
        case 4:
            flag[v8] = v4 ^ a1[i + 1];
            break;
        case 5:
            flag[v8] = v4 / a1[i + 1];
            break;
        case 6://可删除
            break;
        case 7://可删除
            --v7;
            break;
        case 8:
            v4 = flag[--v5];
            break;
        case 10://可删除
            break;
        case 11:
            flag[v8] = v4 + 1;
            break;
        case 12:
            flag[v8] = v4 - 1;
            break;
        default:
            continue;
        }
    }
    printf("\n%s", flag);
    return 0;
}
liqingdi437
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网鼎杯 2020 青龙]singal
weixin_43990313的博客
10-26 802
这个题目方法有很多,目的是练习算法的分析和vm练习,尝试了静态直接逆算法和动态静态结合的方法 方法1 拖入ida找到main函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+18h] [bp-1D4h]@1 __main(); qmemcpy(&v4, &unk_403040, 0x1C8u);//拷贝opcode表 vm_operad(&v4,
[网鼎杯 2020 青龙]boom复现
qq_43668710的博客
05-17 2116
2020 网鼎杯 青龙 boom复现 直接开整 下载题目附件,解压后发现是个.exe文件,丢进终端运行 跟着提示继续,任意键: 得到一串md5密文,在线解密解密即可: 输入后得到一个三元一次方程(虽然是初中知识,我却算错好几遍????) 果真是越活越糊涂… 最后算出: x=74 y=68 z=31 输入后又得到一个方程: 我不知道这里是考大数分解还是简单的逆向分析 方法1: 大数分解,直接在线解二元一次方程即可(本来是想写一个脚本来算的,但是…懒) 成功算出x 输进去就得到了flag:
2020——网鼎杯青龙)signal
寻梦&之璐
03-30 9777
文章目录vm_operad函数功能read函数功能简介流程验证数据(逆向重点)逆向思维 vm_operad int __cdecl vm_operad(int *a1, int a2) { int result; // eax@2 char v3[100]; // [sp+13h] [bp-E5h]@4 char v4[100]; // [sp+77h] [bp-81h]@5 char v5; // [sp+DBh] [bp-1Dh]@5 int v6; // [sp+DCh] [bp-
3.16---网鼎杯2020青龙----signal----vm逆向
qq_73505302的博客
03-16 630
3.16
[网鼎杯 2020 青龙]singal详细题解--VMP 直接逆向,angr模拟执行,ponce符号化
OrientalGlass的博客
09-12 1500
按F9,运行到第二个断点,查看流程图,对着jz指令右键 SMT Solver>Negate and Inject to reach。可以在每条指令处加上打印语句获取指令执行顺序,这个操作仅能大概看一下执行流,自动解密不能靠这个。不获取这个data数也没问题,因为数据保存在opcode数中,只要执行流正确就可以。主函数并不复杂,关键内容在vm_opcode中,先提取出main函数中的opcode。如果是赋值14,使用后自减,中间变量chr先赋值后,xyzj等的值变成13。
re学习(16)[网鼎杯 2020 青龙]singal1(魔法库:angr)
m0_66039322的博客
07-15 389
对于angr做法没有必要关注这些过程,我们只要知道我们想要得到puts("good,The answer format is:flag {}");并且不想得到 printf("what a shame..."),找到相应的地址。(刚开始是看这个视频做的,但是有点看不懂,后来发现了可以用angr库做,而且更加方便~)即最终的flag为flag{757515121f3d478}看不懂,转angr~~~进入这个函数里面看看。
2020网鼎杯 青龙 逆向signal
lhk124的博客
11-25 621
signin 虚拟机题目 1.用angr解决 In [1]: import angr In [2]: p = angr.Project("./signal.exe") In [3]: init_state = p.factory.entry_state()
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
网鼎杯青龙18道.rar
06-11
【标题】"网鼎杯青龙18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020网鼎杯青龙的比赛题目。网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙,...
2022年第三届“网鼎杯网络安全大赛(青龙)部分题目附件
09-19
2022年第三届“网鼎杯网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络...
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
BUUCTF-[网鼎杯 2020 青龙]singal 1(angr用法)
weixin_61154173的博客
02-10 428
angr用法这道题之前看了看,主要是个switch语句,但是没有看太懂,然后我发现有用angr解这道题的,那时候还没接触,也没安装angr库,基本操作也不会,浅学了一下,还是不太精通,但是这道题是最基本的angr解法,所以用angr做一做。发现vm_operad是主要函数,而puts("good,The answer format is:flag {}");是你想要得到的,看它的反汇编记住地址,写脚本要用到。即初始参数用变量代替,模拟程序执行过程,维护执行到各个位置时的状态(用各个变量之间的代数关系表示)。
buuctf————[网鼎杯 2020 青龙]singal
yhfgs的博客
10-18 227
1.查壳。 无壳,32位。 2.IDA反编译 可以看到主函数中关键函数为:vm_operad(), 逻辑就是:用switch分层加密,加密的结果为a1中7值之后的东西。(没太搞懂) 3.解密(我学的太菜了,脚本没写出来,手撸的。) 4.get flag flag{757515121f3d478} ...
BUUCTF-[网鼎杯 2020 青龙]singal——angr学习记录
weixin_52369224的博客
11-14 1668
​​​​​​学习结合b站的视频 环境配置:Ubuntu20.04+python3 ​​​​​​angr安装教程 切换到angr环境:workon angr 退出angr环境:deactivate 什么是符号执行: 符号执行 (Symbolic Execution)是一种程序分析技术。其可以通过分析程序来得到让特定代码区域执行的输入。使用符号执行分析一个程序时,该程序会使用符号值作为输入,而非一般执行程序时使用的具体值。在达到目标代码时,分析器可以得到相应的路径约束,然后通过约束求解器来...
BUUCTF_[网鼎杯 2020 青龙]singal
qq_45149832的博客
09-22 1177
BUUCTF_[网鼎杯 2020 青龙]singal
【代码随想录_Day27】509 斐波那契数 70 爬楼梯 746 使用最小花费爬楼梯
最新发布
qq_43671872的博客
07-08 882
509 斐波那契数70 爬楼梯746 使用最小花费爬楼梯今天的题目难度不低,尽量还是写一些简洁代码 ^ _ ^
青龙面板docker-compose
10-06
如果你在使用青龙面板时需要使用多个 Docker 容器来支持其功能,那么你可能需要安装并使用 docker-compose。否则,如果你只需要单个 Docker 容器来运行青龙面板,那么你可以直接使用 docker 命令来进行管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值